A Wkysol.E trójai legfontosabb jellegzetessége, hogy speciálisan szerkesztett PDF-állományok révén képes felkerülni a számítógépekre. A kártékony program ugyanis az Adobe Reader valamint Acrobat alkalmazások egyik sebezhetőségét használja ki, amelyet az Adobe fejlesztői már korábban befoltoztak. Ezért a trójai elleni védekezés egyik legfontosabb összetevőjét az Adobe alkalmazásainak naprakészen tartása, frissítése jelenti.
Az Isidor Biztonsági Központ tájékoztatója szerint a Wkysol.E a Windows egyik rendszerfolyamata mögé próbál elrejtőzni, de emellett olyan alkalmazások megfertőzésétől sem zárkózik el, mint amilyen például az Internet Explorer, a Firefox vagy a Microsoft Outlook. Amennyiben az előkészítő tevékenységeit sikerrel végrehajtja, akkor egy hátsó kaput létesít, amelyen keresztül a terjesztői többek között az alábbi feladatok elvégzésére vehetik rá:
- fájlok letöltése és futtatása
- fájlok feltöltése
- billentyűleütések naplózása
- rendszerparaméterek manipulálása
- a számítógép újraindítása
- folyamatok indítása és leállítása
- fájlok törlése
- a trójai eltávolítása.
Amikor a Wkysol.E trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Abba a könyvtárba, amelybe eredetileg bekerül egy számítógépen, létrehozza a következő állományokat:
aa.scr
algsvc.exe
info.exe
insight.exe
mshelp.exe
pretty.exe
server.exe
2. Megfertőzi a svchost.exe rendszerfolyamatot.
3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Office="a trójai elérési útvonala és fájlneve"
4. Megfertőzi azokat a folyamatokat, amelyek nevében szerepel a következő kifejezések valamelyike:
outlook
iexplore
firefox
5. Letörli az eredeti állományait.
6. Nyit egy hátsó kaput a terjesztői számára, és várakozik azok parancsaira.
7. Értesíti a terjesztőit a fertőzött számítógép legfontosabb adatairól.
2 hozzászólás
Köszönjük, korrekt cikk!
Ez így igaz Norbimagan!